Újabb részleteket közölt a LastPass a múlt évi súlyos incidenséről. Egy vezető DevOps mérnök gépén keresztül jutottak be a hekkerek. A hekkerek két hullámban jutottak házon belülre. A LastPass most újabb részleteket közölt az incidensről.
Mint a DevClass írja, egy vezető DevOps mérnöktől lopták azokat az érvényes hitelesítő adatokat, melyekkel hozzáfértek egy megosztott felhős környezethez.
A támadók a mérnök otthoni számítógépét vették célba, amelybe egy harmadik féltől származó médiaszoftver távoli kódfuttatást lehetővé tevő sérülékenységét kihasználva jutottak be. A gépre keyloggert (billentyűlenyomásokat rögzítő program) telepítettek, amivel megszerezték a mérnök mesterjelszavát – annak birtokában pedig simán hozzáfértek LastPass-os vállalati trezorjához.
Tudták, kit kell támadni: a célszemély egyike volt annak a négy DevOps mérnöknek, akik hozzáfértek azokhoz a dekódoló kulcsokhoz, amelyekkel be lehetett lépni egy biztonságkritikus felhőalapú tárhelyszolgáltatásba. Olyan adatok szivárogtak ki így, mint a LastPass AWS S3-on tárolt éles biztonsági mentéseinek hozzáférési és visszafejtési kulcsai.
A hekkerek először 2022 augusztus első felében (8-12. között) egy kompromittált fejlesztői fiókon keresztül hajtottak végre támadást. Az azonban csak arra szolgált, hogy egy majdani, nagyobb támadáshoz szerezzenek muníciót. A második támadás indulása (augusztus 12.) után 12 nappal legalább 15 millió felhasználó adatait lopták el.
A hekkerek mindkét támadási körnél egy kompromittált fejlesztői fiókon keresztül jutottak be a LastPass rendszerébe. De miért történhetett meg ez? A kérdésre voltaképpen újabb kérdéssel lehet válaszolni. Miért futott távoli hozzáférést is lehetővé tevő sebezhető konzumer médiaszoftver egy olyan otthoni számítógépen, amelyet biztonságkritikus funkciókra (tudniillik több millió ügyfél hitelesítő adatainak védelme) is használtak?
Át kell gondolni a távmunka kereteit
A távmunka népszerű, különösen a fejlesztők között. De a LastPass-incidens komoly kétségeket vet fel azzal kapcsolatban, hogy ez fenntartható-e bizonyos munkakörökben. Mert annak mindig van esélye, hogy vagy a szabályzatban, vagy annak gyakorlati alkalmazásában, esetleg mindkettőben lesznek lyukak.
A DevClass felveti annak a fontosságát is, hogy a fejlesztői környezetek szigorúan szeparálni kell az éles környezettől, és a fejlesztőket kötelezni kell arra, hogy csak és kizárólag védett hálózatokon dolgozzanak.
Ha fontosnak tartja adatai védelmét és szeretné tudni, hogyan kerülhetőek az ilyen és ehhez hasonló támadások a DetCom szakértőit a “Kapcsolat” linkre kattintva, vagy az elérhetőségeink bármelyikén.
Tisztelettel,
DetCom csapata
